Şüpheli bir başlangıç erişim brokeri, fidye yazılımı saldırılarına zemin hazırlamak için açık kaynaklı Keepass şifre yöneticisinin truva atlı versiyonlarından yararlanıyor.
Keeloader: Veri Stealer ve kötü amaçlı yazılım yükleyicisi olarak hareket eden pasoword yöneticisi
Şubat 2025’te Withecure’in Incident müdahalecileri, bir fidye yazılımı çetesi VMware ESXI sunucularının veri depolarını şifreledikten sonra yanıt ve iyileştirmeye yardımcı olmak için bir Avrupa BT servis sağlayıcısı tarafından işe alındı.
Saldırının kendisi nispeten tipik olsa da, göze çarpan şey, meşru Keepass şifre yöneticisine yerleştirilmiş belgesiz bir kötü amaçlı yazılım yükleyicisinin ve bu truva atışının ek saldırı araçlarını (yani bir kobalt grev işaretini) indirme ve Keepass veritabanından kimlik bilgilerini alma yeteneğiydi.
Araştırmacılar, “Meşru araçlara yerleştirilmiş diğer Truva atları basitçe kötü niyetli içerik ekledi – bu dava, kötü amaçlı yazılımları yeniden yazmadan ve imzalamadan önce meşru araçların kaynak kodunu ve işlevselliğini değiştiren aktörleri vurgulamaktadır” dedi.
Keeloader – Truva atı Keepass versiyonu olarak adlandırılan – dışa doğru bir şifre yöneticisi olarak işlev görür ve güvenilir sertifikalarla imzalanmış olması, gizliliğine katkıda bulunur.
“Kötü niyetli işlevler sadece bir şifre veritabanı açıldıktan sonra ortaya çıkacağı için sanal alan tespiti de zordur. Ayrıca, Keeloader bir kobalt grev işaretini yüklediğinde, yüklü işaret şifrelenir ve sadece arka kapı manuel olarak tetiklendiğinde yürütülür.
Kampanyaların eşlenmesi
Bu saldırıda Keeloader, park edilmiş bir Keepass benzer bir siteden bir kuruluşun sistemine indirildi. Keepass-info[.]Aenys[.]com. Potansiyel kurbanlar, kötü niyetli Bing ve DuckDuckgo reklamları tarafından yeniden yönlendirildikten sonra bu siteye ineceklerdi.
Bu katılım sırasında, Withecure’in tehdit istihbarat analistleri de bir dizi kötüverizasyon kampanyası, yazgıllı alanlar ve Keeloader’a hizmet eden alt alanlar, meşru yazılım olarak poz veren azot yükleyici ve finansal kurum ve hizmetleri ve keenater’ın kanıtı olan finansal geliştirme ve hizmetleri taklit eden kimlikleri ortaya çıkardılar.
Diğer truva atış örnekleri sürekli gelişime işaret ediyor (Kaynak: Secure Withecture)
Withecure, tarihi kampanyalarda konuşlandırılan eserlerin altyapı bağlantılarının ve örtüşen özelliklerinin, bu kampanyaların arkasındaki tehdit oyuncusunun, muhtemelen ilk erişim brokeri olarak çalışan (maniant tarafından “UNC4696” olarak izlenen) üretken bir fidye yazılımı üyesi olduğunu gösteriyor – ancak tamamen emin olamazlar.
Ancak emin olan şey, meşru yazılım olarak kötü amaçlı yazılımların kötü niyetli hale getirilmesinin, çeşitli tehdit aktörleri tarafından kullanılan çok başarılı bir saldırı taktiği olmasıdır. (Bazen bazıları tedarik zinciri uzlaşmasına girer ve resmi sitelerde meşru yazılım montajcılarının da yerine geçer.)
“Keepass’ın daha önce görülmemiş hedeflenmesi ve Keepass Truva atlarının aynı anda bir ağa erişim sağlamak için sürekli geliştirilmesi ve bir kullanıcının kimlik bilgilerine/dijital kimliğine endişe verici derecede verimli ve tehlikeli bir gelişmedir. Bu, mağdur sayımlarının görünüşte artışta olduğu görünüşte olduğu bir fidye yazılımı ekosistemine katkıda bulunuyor” dedi.
Bu kampanyalarla ilişkili uzlaşma göstergeleri rapora dahil edilmiştir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!